مدتهاست که شاهد گسترش بدافزارهای جدیدی در فضای مجازی هستیم که از آنها با نام بدافزارهای دزدی ارز دیجیتال یا Cryptojacking یاد میشود. این شیوه دزدی از زمانی رونق گرفت که ارزش ارزهای دیجیتال به طور چشمگیری بالا رفت و از سوی دیگر به دلیل سختی شبکه، استخراج ارز دیجیتال هم به توان پردازشی بیشتر نیازمند شد.
دزدی ارز دیجیتال با Cryptojacking چیست
دزدی ارز دیجیتال یا همان Cryptojacking به معنای استفاده از توان پردازشی سیستم قربانیتن به منظور استخراج ارز دیجیتال است. معمولا هکرها این کار را با اجرای اسکریپت از طریق وب سایتی که کاربر به آن مراجعه کرده و یا اجرای یک برنامه آلوده روی سیستم او انجام میدهند. این مسئله باعث میشود تا ضمن افزایش مصرف برق، سرعت و عملکرد سیستم به شدت پایین بیاد و پس از مدتی سیستم آسیبهای جدی ببیند.
مقالات مرتبط:
دزدی ارز دیجیتال با قرار دادن کد ماینینگ در سایت پلیس راهور ناجا
پای دزدی ارز دیجیتال (cryptojacking) به وب سایتهای دانشگاهی باز شد
بدافزار جدید دزدی ارز دیجیتال (Cryptojacking)
به گزارش مهر به تازگی آزمایشگاه مک آفی ( McAfee ) بدافزار جدیدی با نام WebCobra را کشف کرده که دقیقا به منظور دزدی ارز دیجیتال فعالیت دارد. گویا این بدافزار Cryptolacking که در اصل یک installer مایکروسافت است، ابتدا نوع معماری سیستم قربانی را تشخیص میدهد و سپس بسته به همین معماری، یکی از دو بدافزار زیر را روی آن نصب میکند:
سیستم با معماری X86:
بدافزار Cryptonight روی سیستم قربانی نصب میشود.سپس بدافزار به فرایند پردازشی svchost.exe نفوذ کرده و استخراج ارز را انجام میدهد.
سیستم با معماری X64:
بدافزار Claymore’s Zcash از طریق سرور راه دور روی سیستم قربانی نصب میشود. سپس یک فایل CAB در سیستم بارگذاری میشود که دارای بدنه bin و یک فایل DLL برای رمزگشایی بدنه است. بدنه بدافزار به واسطه داشتن سه قابلیت ضد دیباگ، ضد شبیهسازی و ضد محیطهای سندباکس، برای مدت طولانی به صورت ناشناخته روی سیستم قربانی باقی میماند.
البته در سیستمهای X64، تنها در صورتی فرایند استخراج ارز انجام میشود که Wireshark در سیستم شناسایی نشود و پردازنده گرافیکی قربانی یکی از سه مدل Radeon، Nvidia و Asus باشد.
نشانههای آلودگی به این بدافزار
دامنه آلودگی این بدافزار در سراسر جهان در روزهای 18 الی 22 شهریور بوده و بیشترین آلودگیها مربوط به کشورهای برزیل، افریقای جنوبی و ایالات متحده است. در نمودار زیر تعداد نمونههای بدافزار کاوش ارز Monero مشاهده شده به همراه تغییرات قیمت این ارز نمایش داده شده است.
آدرسهای IP:
۱۴۹,۲۴۹.۱۳:۲۲۲۴
۱۴۹,۲۵۴.۱۷۰:۲۲۲۳
۳۱,۹۲.۲۱۲
دامنههای آلوده:
fee.xmrig.com
fee.xmrig.com
ru
zec.slushpool.com
هشها (SHA-256):
۵E۱۴۴۷۸۹۳۱E۳۱CF۸۰۴E۰۸A۰۹E۸DFFD۰۹۱DB۹ABD۶۸۴۹۲۶۷۹۲DBEBEA۹B۸۲۷C۹F۳۷
۲ED۸۴۴۸A۸۳۳D۵BBE۷۲E۶۶۷A۴CB۳۱۱A۸۸F۹۴۱۴۳AA۷۷C۵۵FBDBD۳۶EE۲۳۵E۲D۹۴۲۳
F۴ED۵C۰۳۷۶۶۹۰۵F۸۲۰۶AA۳۱۳۰C۰CDEDEC۲۴B۳۶AF۴۷C۲CE۲۱۲۰۳۶D۶F۹۰۴۵۶۹۳۵۰
۱BDFF۱F۰۶۸EB۶۱۹۸۰۳ECD۶۵C۴ACB۲C۷۴۲۷۱۸B۰EE۲F۴۶۲DF۷۹۵۲۰۸EA۹۱۳F۳۳۵۳B
D۴۰۰۳E۶۹۷۸BCFEF۴۴FDA۳CB۱۳D۶۱۸EC۸۹BF۹۳DEBB۷۵C۰۴۴۰C۳AC۴C۱ED۲۴۷۲۷۴۲
۰۶AD۹DDC۹۲۸۶۹E۹۸۹C۱DF۸E۹۹۱B۱BD۱۸FB۴۷BCEB۸ECC۹۸۰۶۷۵۶۴۹۳BA۳A۱A۱۷D۶
۶۱۵BFE۵A۸AE۷E۰۸۶۲A۰۳D۱۸۳E۶۶۱C۴۰A۱D۳D۴۴۷EDDABF۱۶۴FC۵E۶D۴D۱۸۳۷۹۶E۰
F۳۱۲۸۵AE۷۰۵FF۶۰۰۰۷BF۴۸AEFBC۷AC۷۵A۳EA۵۰۷C۲E۷۶B۰۱BA۵F۴۷۸۰۷۶FA۵D۱B۳
AA۰DBF۷۷D۵AA۹۸۵EEA۵۲DDDA۵۲۲۵۴۴CA۰۱۶۹DCA۴AB۸FB۵۱۴۱ED۲BDD۲A۵EC۱۶CE
جلوگیری از آسیب استخراج مخفیانه ارز دیجیتال
شرایط کنونی و افزایش قیمت دلار، افزایش قیمت تجهیزات ماینینگ و... همه و همه دلایلی هستند که استخراج مخفیانه رمز ارزها را به کاری سودآور تبدیل کردهاند بنابراین cryptojacking یکی از تهدیدات امنیتی است که باید مراقب آن باشید. از این رو به شما پیشنهاد میکنیم ضمن نصب نسخه 50 مرورگر اوپرا (که دارای قابلیتهایی برای جلوگیری از دزدی ارز دیجیتال است)، مقاله زیر را هم از دست ندهید:
پیشنهاد فیسیت: چگونه جلو دزدی ارز دیجیتال از طریق سیستم خود را بگیریم
ما را در شبکههای اجتماعی مختلف تلگرام، روبیکا، توییتر، اینستاگرام، سروش همراهی کنید.
منبع خبر: مهر
ثبت نظر